여러 나라의 기관들이 유사한 유형의 APT 공격을 받아도 파악이 안되는 이유
금번 SKT 해킹 공격 발표 이후 유심카드만 중점적으로 이야기가 되고 있지만 사실 더 큰 그림을 볼 필요가 있다. 도대체 누가 왜 무엇을 위해 공격을 감행한 것이며 무엇을 하려고 시스템에 침입하여 어떤 데이터를 탈취해 간 것일까. 즉 ‘왜‘와 ’어떻게‘ 그리고 ’어떤 데이터’를 탈취했는지에 대한 의문은 여전히 남는다. 무엇보다도 지능형 지속 공격 (APT 혹은 Advanced Persistent Threat)을 받았다는 것이 매우 의미심장하다.
특히 여기서 우리가 주목해서 봐야할 것이 공격자가 구체적으로 어느 나라 정부의 사주를 받아서 행해졌는지 자체를 밝힐 수 있으면 좋겠지만 그보다도 그 공격 유형에 대해 살펴볼 필요가 있다는 것이다.
“우리가 공격받고 있었다는 사실조차 몰랐다.”
이 말은 2023년 미국 정부와 마이크로소프트가 공동으로 발표한 경고문에서 반복된 핵심 문장이다. 바로 중국 정부와 연계된 사이버 위협 그룹 ‘볼트 타이푼(Volt Typhoon)’에 대한 이야기다. 이들은 전통적인 해커처럼 악성코드를 배포하지 않는다. 고도의 악성코드를 배포한 것이라면 시간의 문제일 뿐 흔적도 잡고 할텐데 그 대신, 마치 내부 직원이 합법적인 도구만을 이용해 시스템 내부를 탐색하고 통제한 것처럼 보이기 때문에 탐지 자체가 어렵다. 이 공격이 바로 APT (Advanced Persistent Threat), 즉 지속적이고 은밀한 고급 침투 행위의 전형이기 때문이다.
아무 흔적도 남기지 않는 사이버 작전이 바로 볼트 타이푼 (Volt Typhoon) 공격이다. 2021년 중반부터 활동을 본격화한 것으로 추정되는 볼트 타이푼은 2023년 마이크로소프트(Microsoft), 미 국가안보국(NSA), 사이버보안·기반시설안보국(CISA), FBI 등이 공동 발표한 경고문(출처: People’ Republic of China State-Sponsored Cyber Actor Living off the Land to Evade Detection - CISA Joint Advisory, May 24, 2023)을 통해 대중에 알려졌다. 이 공격은 미국의 통신, 에너지, 운송, 해양, 정부기관, 교육기관 등 핵심 국가 인프라를 대상으로 수행되었다. 그 중에서도 특히 미국령 괌(Guam)의 중요 통신 시설이 타깃이었으며, 이는 타이완 분쟁 등 군사 충돌에 대비한 정보전 기반 마련으로 분석되었다.
이 공격은 최소 수개월, 길게는 수년 동안 탐지되지 않았다. 볼트 타이푼은 악성코드를 사용하지 않고, 시스템 내부에서 운영체제에 기본 내장된 정식 도구만을 활용해 침투와 활동을 수행했다. 악성코드 자체가 존재하지 않다 보니, 시그니처 기반으로 동작하는 안티바이러스 솔루션은 탐지가 쉽지 않았고, 이상 행위 중심 탐지를 하는 EDR조차도, 이들의 행위가 PowerShell, WMIC 등 일반적인 관리 도구를 사용하는 모습으로 보였기 때문에 악성 행위로 인식하고 경고를 발생시키는 것이 매우 어려웠다. 내부 시스템의 이상 동작을 포착하던 몇몇 보안 분석가와 위협 헌터(Threat Hunter)들의 수작업 분석과 로그 상관분석을 통해 그 실체가 드러났다.
볼트 타이푼은 일반 해커와 달리 Living-off-the-Land (LOTL) 기법을 활용해 여러 보안 솔루션의 탐지를 피해왔으며, 시스템의 허점을 교묘히 악용한 것으로 파악된다. 이 기법은 운영체제에 기본으로 내장된 도구만을 사용해 보안 시스템의 감시를 피해가는 방식이다. 가령 PowerShell과 WMIC는 원래 시스템 상태를 점검하거나 정보를 수집하는 데 사용되는 정식 도구지만, 공격자들은 이를 이용해 컴퓨터 안에서 어떤 프로그램이 실행 중인지, 어떤 파일이 있는지를 조용히 살펴보고, netsh portproxy는 원래 네트워크 설정을 관리하기 위한 기능이지만, 공격자들은 이를 악용해 외부와 직접 연결하지 않고도 내부에서 은밀하게 통신할 수 있는 경로를 만든다. 또한 RDP와 PSExec는 원격 시스템 관리에 쓰이는 정상적인 도구이지만, 공격자들이 이를 활용하면 다른 컴퓨터에 관리자처럼 접속해 원격 조작을 할 수 있다. LSASS 메모리 덤프는 원래 보안 점검이나 디버깅에 쓰일 수 있는 기능이지만, 공격자는 이를 통해 로그인 시 메모리에 잠시 저장되는 비밀번호 정보를 훔쳐낼 수 있다. 그리고 ntdsutil.exe는 Active Directory 환경을 관리할 때 사용하는 도구지만, 공격자는 이 도구를 이용해 회사나 기관의 전체 계정과 암호 정보가 담긴 핵심 파일을 추출하고, 브라우저 저장 비밀번호 기능은 사용자의 편의를 위한 것이지만, 공격자는 크롬이나 엣지에 저장된 로그인 정보와 복호화 키 파일을 함께 훔쳐 이를 해독한다.
이러한 도구들은 모두 운영체제에 기본으로 포함된 정식 기능들이기 때문에, 겉보기에는 ‘이상한 행위’로 보이지 않는다. 그래서 보안 솔루션 입장에서는 이를 위협으로 인식하거나 경고를 보내는 것이 매우 어렵다. 볼트 타이푼이 바로 이런 정상 도구만을 사용해 탐지를 교묘히 피해온 대표적인 사례인 것이다. 파일 기반 악성코드를 설치하지 않기 때문에, 많은 보안 솔루션이 이를 ‘정상적인 관리자 작업’으로 오인한다. 활동 후에는 로그를 지우거나, 임시 폴더 및 휘발성 메모리만을 활용하여 흔적을 최소화한다. 따라서 이들은 ’공격하지 않음으로써 공격에 성공‘한 셈이다.
볼트 타이푼은 단지 하나의 위협 그룹에 불과하다. 이와 유사한 조용한 침투형 APT 공격은 점점 더 다양화되고 있으며 빠르게 진화하고 있다. 공격 방식은 조금씩 달라지고, 대상도 분야별로 확장되고 있다. 실제로 다양한 APT 그룹들은 공격 대상의 운영체제와 인프라 환경에 따라 수법을 정교하게 달리하고 있다. 예를 들어 솔트 타이푼(Salt Typhoon, APT41)은 윈도우 기반 기업 환경을 겨냥해 커스텀 백도어나 루트킷 등을 이용해 정보 탈취와 사이버 범죄를 병행하고 있으며, BPFDoor는 리눅스 시스템에 특화된 백도어형 APT 도구로, 통신사나 방송사처럼 리눅스 인프라가 많은 분야에서 수년간 은밀히 활동해온 사례다. 한편, 볼트 타이푼(Volt Typhoon)은 윈도우 운영체제 기반의 미국 내 핵심 인프라를 목표로, PowerShell이나 netsh처럼 시스템에 내장된 정식 도구만을 사용하여 탐지를 피하고 장기 침투를 수행했다. 이처럼 APT 공격은 단일 기법이 아니라 타깃의 운영체제, 보안 수준, 인프라 구조에 맞춰 맞춤형으로 설계되고 지속적으로 진화하고 있다는 점에서 더욱 위협적이다. 러시아와 연관된 APT29는 Microsoft 365 계정을 노려 파일 없이 침투하는 정교한 수법을 구사하며, 중국발로 추정되는 ChamelGang은 의료기관과 항공 산업을 표적으로 삼아, 외부 백업 시스템을 노리는 이례적인 접근을 취하고 있다. Gallium 역시 중국과 연관된 그룹으로, 통신사를 중심으로 볼트 타이푼처럼 운영체제에 내장된 정식 도구(LOLBins)를 활용해 흔적 없이 접근한다. 또한 APT41, 즉 소위 ‘솔트 타이푼’으로도 알려진 그룹은 금융과 게임 산업을 중심으로 공격을 감행하며, 커스텀 백도어와 정보 탈취 기능을 함께 결합한 공격을 벌이고 있다.
이처럼 APT 공격은 더 조용해지고, 더 지능적으로 변화하고 있으며, 어떤 산업이든 타깃이 될 수 있는 시대가 도래했다. 이들 공격자는 서로 다른 방식을 쓰면서도 공통적으로 탐지 회피, 장기 잠입, 그리고 고가치 데이터 탈취를 노린다는 점에서 매우 유사하다. 따라서 단순히 특정 그룹 하나만 경계할 것이 아니라, 이와 같은 ‘지능형 지속 공격(Advanced Persistent Threat)’의 전체 흐름과 기술적 진화를 함께 주시해야 한다.
가장 큰 문제는, 이런 공격이 조용히, 그리고 지속적으로 늘어나고 있다는 사실조차 모르는 경우가 많다는 것이다. 사이버 공격을 폭발적 사건처럼 단발적으로 벌어지는 일회성 침입으로만 인식하거나, 이미 내부에 침입자가 있음에도 언제 당할지 모른다는 막연한 불안감 속에서 아무런 조치 없이 방치하고 있는 경우도 있다. 더 심각한 건, 위험을 인지하고 있음에도 불구하고 현실적인 대응 수단이 없거나 준비되어 있지 않아 결국 알고도 당하는 경우가 많다는 점이다.
일부 기관들은 이미 볼트 타이푼이나 APT29와 같은 그룹이 어떤 방식을 사용하는지, 어떤 취약점을 노리는지를 알고 있다. 하지만 기존 방식대로 ‘악성코드’만을 전제로 한 보안 대책을 유지하거나, 레거시 시스템이 남아 있는 환경을 바꾸지 못한 채 운영을 지속하는 경우가 더욱 많다보니 결과적으로 당할 수밖에 없는 상황이 반복되고 있는 것이다.
결국, 공격은 점점 더 정교해지고 있고, 방어는 현실적 제약 속에서 뒤처지고 있다. 지금 필요한 건 단편적인 솔루션 도입이 아니라, 공격자의 관점에서 전체 시스템을 되짚고, 공격이 일어날 수 있는 환경 자체를 통째로 재설계하는 것이다. 이는 단기적인 비용 절감보다 훨씬 큰, 미래가 아닌 이미 현재 발생중인 사이버 위기를 막기 위한 장기적 투자이자 생존 전략이 되어야 한다.
보안에서 중요한 것은 단지 기술뿐만이 아니다. 기술은 필수적이지만, 그것을 어떻게 운영하고 실제 상황에 맞춰 대응하느냐 역시 그에 못지않게 중요하다. 아무리 좋은 솔루션을 갖추고 있어도, 이를 제대로 관리하지 못하거나 공격자의 관점에서 시스템을 바라보지 못하면 실질적인 방어는 이루어지지 않는다.
볼트 타이푼은 단순한 해킹 그룹이 아니며, 하나의 사례에 불과하다. 이들은 국가적 목적을 띤 사이버 작전의 일환으로, 전략적으로 침투해 정보를 통제하고 시스템 내부에 장기적으로 잠복하는 위협 주체다. 이처럼 정교하고 은밀한 공격에 대응하기 위해서는 단순한 보안 솔루션만으로는 부족하며, 이를 뒷받침할 수 있는 운영 전략과 조직의 태도 변화가 반드시 병행되어야 한다.
우선, PowerShell, LSASS, ntdsutil처럼 정상적인 관리자 도구를 활용한 이상 행위를 감지할 수 있도록 행위 기반 탐지 정책을 정교하게 구축해야 하며, OT 환경과 IT 환경 간의 망을 분리하거나 세분화하는 등 네트워크 구조 자체를 방어 중심으로 재설계할 필요가 있다. 또한 공격자가 이미 내부에 있다고 가정하고 움직이는 ‘사전 탐지 중심의 위협 헌팅(Threat Hunting)’과 Red Team/Blue Team 간의 모의 훈련을 정기적으로 시행해야 한다. 이와 함께, 공격자의 전술과 절차(TTP)를 기준으로 탐지 룰을 구성하고, 외부와 IOC(침해 지표) 정보를 실시간으로 공유할 수 있는 협력 체계를 갖추는 것이 중요하다. 무엇보다도, SIEM과 XDR 같은 시스템을 유기적으로 연결하여 개별적인 이상 징후들을 상관분석으로 연결하고 조기에 식별할 수 있는 자동화된 탐지 환경을 마련해야 한다. 지금부터라도 조직은 "이상 징후가 없다"는 것을 안전의 증거로 받아들이지 말고, 그저 아직 발견하지 못했을 뿐이라는 전제로 경계와 탐지를 지속해야 한다.
또한 여기서 반드시 짚고 넘어가야 할 사실이 있다. 종종 소규모의 로그인 정보 유출이나 이메일 아이디 및 비밀번호 크리덴셜 침해 같은 사건들을 대수롭지 않게 여기는 경향이 있다. 하지만 그 정보 자체가 중요한지 아닌지를 따지기에 앞서, 더 중요한 것은 그런 정보가 왜, 어떤 경로로 외부에 노출될 수 있었는지를 파악하는 일이다. 실제 공격은 단 하나의 크리덴셜 탈취, 하나의 브라우저 쿠키 유출에서 시작되며, 그 경로가 다시 사용되어 더 큰 침투로 이어지거나 이미 침입이 진행 중일 가능성도 충분히 존재한다.
2023년 서치라이트 사이버(Searchlight Cyber)의 공동창립자 벤 존스(Ben Jones)와 마시 맥레넌 사이버 리스크 인텔리전스 센터(Marsh McLennan Cyber Risk Intelligence Center)의 보고서 ‘다크웹 노출과 사이버 보안 리스크 간의 상관관계(The Correlation Between Dark Web Exposure and Cybersecurity Risk)’에서는 다크웹에 조직 관련 정보가 존재한다는 것만으로도, 해당 조직이 사이버 공격을 당할 확률이 통계적으로 유의미하게 증가한다고 발표한 바 있다. 보고서의 분석에 따르면, 다크웹에 계정 정보가 노출된 경우 사이버 공격 발생 가능성이 최대 2.56배까지 증가하며, 다크웹 마켓에 조직이 언급된 경우에는 2.41배, 내부에서 다크웹으로 나가는 트래픽이 발생한 경우 2.11배 더 높은 위험이 확인되었다. 즉, 아무리 작은 징후라도 결코 가볍게 여겨서는 안 되며, 모든 데이터 침해는 다음 공격의 징조일 수 있다는 인식 전환이 필수적이다.
"아무 일도 없는 듯한 시스템이야말로 가장 위험한 상태다."
눈에 띄는 침해 흔적이 전혀 없다고 해서, 진짜 안전하다고 확신해서는 안된다. 실제로 많은 조직이 "너무 조용한 상태"를 당연하게 받아들이며 안심하고 있지만, 이럴 때일수록 오히려 의문을 가져야 한다. 보안은 단지 사고에 반응하는 reactive 모델에서 벗어나, 공격자가 이미 내부에 존재할 수 있다는 전제를 두고 ‘proactive’, 즉 사전 대응 중심의 구조로 재설계되어야 한다.
볼트 타이푼이라는 공격 실체를 밝혀낸 조사에는 미국의 CISA, NSA, FBI, 마이크로소프트 등 국가 안보 및 사이버 보안 분야에서 가장 권위 있는 기관들이 공동으로 참여했는데 특히 이들은 통신사, 항만, 에너지 시설 등 핵심 인프라에 수개월에서 수년간 숨어 있었지만 피해 기관 대부분은 전혀 알지 못하고 있었다고 밝힌 바 있다.
또한 정보 탈취형 악성코드, 이른바 인포스틸러(Infostealer)에 감염된 조직의 시스템 정보가 고스란히 외부에 노출되어 돌아다니는 사례가 적지 않다. 공격자들은 이러한 데이터를 수집해 침투 전략과 회피 전략을 맞춤형으로 구성한다. 예를 들어 한 인포스틸러가 탈취한 시스템 정보를 분석해 보면, 해당 기업의 엔드포인트 운영 체제, 백신 종류, 관리자 계정 구조까지 그대로 담겨 있다. 심지어 그 사실을 알려줘도 “우리는 망분리 되어 있어서 문제없다”며 무시하거나 감추려는 경우도 많다. 하지만 망분리만으로는 결코 완전한 방어가 되지 않는다. 망분리가 되어 있다 하더라도, 브라우저에 저장된 크리덴셜, 외부 저장 장치, VPN 접속, 업데이트되지 않은 엔드포인트를 통해 충분히 우회 침투가 가능하다.
최신 유명 브랜드의 보안 제품을 도입했다고 해서 안전하다는 착각도 매우 위험하다. 제품 자체보다 더 중요한 것은 그 제품을 얼마나 강력한 정책으로 운영이다. 같은 XDR(Extended Detection and Response) 제품이라 해도, 정책 구성과 연동 체계, 탐지 룰 적용 수준에 따라 성능 차이는 매우 크게 벌어진다.
이번 조사에서도 언급된 바와 같이, Volt Typhoon은 라우터나 SOHO 장비의 패치되지 않은 CVE 취약점을 주요 침투 경로로 활용했다. 대부분의 조직이 오래된 장비를 그대로 쓰고 있거나, 펌웨어 업데이트를 간과하는 경우가 많은데 이는 매우 현실적인 위협이다. ISP, MSP, 통신사가 표적이 되는 이유는 그들이 수많은 고객 네트워크의 중간 지점에 있기 때문이며, 하나만 뚫어도 그 아래 수백, 수천 개의 조직으로 확장할 수 있기 때문이다.
볼트 타이푼의 공격은 금전 목적의 랜섬웨어와는 완전히 다르다. 이들은 데이터를 암호화하거나 판매하지 않고, 시스템에 ‘잠입’하여 조용히 장악한 후, 지정학적 갈등이나 전시 상황이 발생할 경우를 대비해 교란할 준비를 마쳐놓는 전형적인 전략형 사이버 작전을 수행한다. 실제로 그들이 구축한 KV 봇넷이나 포착된 제로데이 공격 사례들은 그 가능성을 더욱 뚜렷하게 보여준다. 공격자들은 돈을 요구하지 않는다. 단지 조용히, 오래 남아 있는 것이 목적이다.
한편, 세계적으로 악명을 떨친 랜섬웨어그룹 LockBit 조직 내부 자료가 해킹을 통해 유출되었을 때, 그 자료를 보면 이 조직이 얼마나 기업화되어 있고, 체계적으로 운영되며, 효율을 극대화한 범죄 네트워크였는지 알 수 있다. 이 정도가 일반 사이버 범죄자들의 수준이라면, 국가가 전폭적으로 지원하는 해커 부대들은 과연 어느 수준일지 독자의 상상에 맡기겠다.
결국 사이버 보안에서 가장 기본이자 필수적인 전제는 보안 솔루션을 구비하는 것 자체가 목표가 아니라, 그것을 제대로 운영하고 실효성 있게 활용하는 데 있다. 기본적인 백신이나 EDR만으로는 고도화된 위협을 막기 어렵다는 것은 이미 여러 사례를 통해 증명되었고, XDR(확장 탐지 및 대응)은 완벽하지는 않더라도 위협 가시성과 행위 간 연관성 분석, 공격 흐름 추적에 있어서 필수적인 역할을 할 수 있다. 따라서 가능한 보안 도구들은 최대한 동원하되, 솔루션 도입만으로 끝내지 말고 실제 조직 환경에 맞춰 탐지 정책을 최적화하고, 수시로 점검하고 훈련하는 운영 체계를 병행해야 한다. 특히 오래되었거나 제조사 지원이 종료된 노후 장비, 패치가 적용되지 않은 라우터, 외부에 열려 있는 시스템 포트 등은 지속적인 자산 가시성과 취약점 관리 체계 안에서 정기적으로 확인하고 정리해야 한다. 기본적인 사용자 계정 관리, 브라우저 크리덴셜 저장 제한, 다단계 인증(MFA) 적용, 접근 제어 정책 수립 등은 지금 당장이라도 실행 가능한 최소한의 대비책이다. 결국 최선의 방어는 ‘알고도 당하지 않는 조직’이 되는 것이며, 이를 위해선 기술, 태도, 시스템 운영이 함께 가야 한다.
마지막으로 어떤 경우이든 데이터들은 무조건 암호화하여 저장해두어야 한다. 보통 암호화를 하지 않아서 뚫린 경우 복호화가 필요없어서 해커들을 오히려 도와주는 것이기 때문이다. 어떤 기관이든 마찬가지지만 특히 통신사 같은 인프라 기업들은 더더욱 데이터를 암호화하여 보관해야 한다. 그렇게 않으려는 이유중 하나는 결국 반복적으로 발생하는 암호화·복호화 연산이 결국 비용으로 직결되기 때문이다. 예를 들어, 통신 인증, 로밍 처리, 원격 업데이트(OTA) 등에서 매번 데이터를 복호화하려면 더 좋은 칩셋, 더 빠른 인증 서버, 더 많은 트래픽 처리량이 필요하다. 이런 시스템적 부담은 장비 투자와 유지보수 비용을 계속 키우게 되고, 가입자가 수천만 명에 달하는 통신사 입장에서는 연간 수십억 원에서 그 이상까지도 추가 비용이 발생할 수 있다. 그렇다고 하여 보안보다 비용을 택해서는 안된다. 고객의 개인정보뿐 아니라 여러가지 중요한 정보를 다루는 통신사가 당장의 편의와 비용 절감을 위해 보안을 희생시키게 되면 해킹이 일반화 되어가는 현대 디지털 사회에서는 사실상 암호화되지 않은 데이터를 해커들에게 내줘도 된다고 암묵적으로 동의한 거나 마찬가지라고 봐도 과언이 아니다.
우리는 ‘보이지 않는 공격자’가 이미 시스템내에 뚫고 들어와있다는 것을 전제에서 보안을 재설계해야 한다.
[글. 엔피코어 백세현 해외전략이사 / david.baek@npcore.com]
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
![[에듀플러스]美 파워스쿨 해킹 여파…학교 사이버 보안 문제 해외서도 '골치'](https://img.etnews.com/news/article/2025/05/12/news-p.v1.20250512.0190f000f1da4815a8174cd6878bdd5c_P1.jpg)
!["테러범 1100명 제거, 인간한계 넘었다" 美국방 칭찬한 이 부대 [밀리터리 브리핑]](https://pds.joongang.co.kr/news/component/htmlphoto_mmdata/202505/13/49605e6c-80cf-42fc-aed2-03c9c0d91fce.jpg)